Affaires économiques
Avant d’être débattu et voté en séance publique, chaque projet ou proposition de loi est examiné par l’une des sept commissions permanentes du Sénat : lois, finances, affaires économiques, affaires étrangères et Défense, affaires culturelles, affaires sociales, aménagement du territoire et du développement durable. Classées par commissions, retrouvez ici les interventions générales et les explications de vote des sénateurs CRC.
Nos données risquent de tomber sous le coup de la législation américaine
Certification de cybersécurité des plateformes numériques -
Par Fabien Gay / 22 octobre 2020Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, de nombreux enjeux éthiques, démocratiques et économiques auxquels nous sommes confrontés aujourd’hui sont directement liés à l’essor des nouvelles technologies et à la généralisation de l’utilisation d’outils informatiques et numériques.
À l’ère de l’omniprésence de l’informatique et des objets connectés, la question de la sécurité des systèmes est donc centrale. Aussi, en matière de cybersécurité, deux axes nous semblent essentiels.
La première problématique est celle de la cybercriminalité et des piratages. En effet, 80 % des entreprises disent avoir été touchées par au moins une cyberattaque en 2018. Le pire est que l’on observe à la fois une professionnalisation des cyberattaquants et une multiplication des cyberdélinquants. À cet égard, l’explosion du télétravail, en cette période de crise sanitaire, a mis en lumière la fragilité des particuliers et de nombreuses entreprises.
Plusieurs questions se posent : pourquoi mes données personnelles doivent-elles être protégées ? Que se passerait-il si nos objets numériques partageaient librement nos données avec un tiers ? Que pourrait en faire ce dernier ? Et les mêmes interrogations se posent pour une entreprise, pour un service public ou pour un État.
Si l’acquisition, par les uagers, de connaissances sur la cybersécurité et une meilleure information sont une nécessité, il n’en demeure pas moins que c’est d’un véritable effort de formation que nous avons besoin, d’autant que la France fait face à une pénurie de cyberspécialistes.
De nombreux objets connectés d’un usage quotidien ne sont souvent que très faiblement sécurisés, alors même qu’ils pénètrent dans les foyers et sont susceptibles de donner accès à toutes sortes d’informations sensibles.
Je donnerai quelques exemples récents : la découverte, dans un robot-cuiseur, d’un micro, dont aucune mention n’était faite dans la notice, ou encore les Vtech Leaks, en 2015, avec le piratage de plus de 6 millions de comptes de tablettes pour enfants, qui était, fort heureusement, le fait d’un militant souhaitant démontrer la non-fiabilité de ces appareils. Ajoutons à cela l’étude de chercheurs de l’université de l’Iowa, qui ont trouvé une douzaine de failles de sécurité que la 5G pourrait aggraver, sans qu’il soit nécessaire, pour les pirates, de disposer d’un équipement de pointe.
À toutes ces questions sociétales, commerciales et économiques, on pourrait ajouter des problématiques de défense nationale, alors même que le cyber fait partie des nouveaux champs de bataille de la guerre hybride.
La deuxième problématique à laquelle nous devons faire face est l’extraterritorialité des lois états-uniennes, qui permettent au gouvernement des États-Unis de demander, en justice, l’accès à toute donnée personnelle détenue par une entreprise américaine, où qu’elle soit implantée dans le monde. Rappelons-le, aux États-Unis, le secret professionnel n’existe pas face à la raison d’État. Il est donc impératif, en cas de marché public, de prendre en compte ces risques.
D’ailleurs, le 16 juillet dernier, la Cour de justice de l’Union européenne a cassé l’accord sur les données personnelles passé entre les États-Unis et la Commission européenne, considérant que ce traité ne protégeait pas suffisamment les citoyens européens. Le risque est que, avec le cloud, les données publiques sensibles tombent sous le coup de la législation états-unienne.
C’est notamment le cas pour ce qui concerne les données de santé, qui devaient être hébergées dans les data centers de Microsoft, aux Pays-Bas.
Or Microsoft étant une société américaine, elle est soumise au Cloud Act des États-Unis. Qui plus est, en raison du fonctionnement même de son cloud, une partie des données peut déjà se trouver aux États-Unis. Ainsi, ces données devraient, au minimum, être gérées par une société européenne, avec un cloud et des serveurs exclusivement situés sur le territoire de l’Union européenne, voire, dans le meilleur des cas, rester dans le « tout français ».
Mes chers collègues, même si cette proposition de loi reste limitée dans son champ, elle pose une première pierre ; nous voterons donc en faveur de ce texte.